vip genial seguridad en informatica luis castellanos

SEGURIDAD EN INFORMTICA

LUIS CASTELLANOS 2012

Seguridad en Informtica - Lus Castellanos

ii

SEGURIDAD EN INFORMTICA

LUIS CASTELLANOS

MARACAIBO, VENEZUELA. 2012


iii

A Dios por permitirme vivir. A mis hijos, por ser mi razn de vivir. A mis padres, por ensearme a vivir

A ti por hacerme vivir.


iv

Tabla de Contenidos

1 Introduccin 1

2 Antecedentes y consecuencias de la falta de Seguridad 3

2.1 ANTECEDENTES 3 2.2 CONSECUENCIAS DE LA FALTA DE SEGURIDAD 4 2.3 CAUSAS QUE PUEDEN ORIGINAR DICHAS CONSECUENCIAS 5

3 Auditora de Sistemas 7

3.1 CONCEPTOS BSICOS DE AUDITORA 7 3.1.1 TIPOS DE AUDITORIA 7 3.1.2 CLASIFICACIN POR NATURALEZA DEL EQUIPO 7 3.2 AUDITORA DE SISTEMAS 7 3.2.1 CLASIFICACIN DE ACUERDO A SU ENFOQUE 8 3.2.2 CLASIFICACIN DE ACUERDO AL ALCANCE 8 3.2.3 HERRAMIENTAS Y TCNICAS UTILIZADAS 8 3.3 ANLISIS DE LOS DELITOS A TRAVS DEL COMPUTADOR 8 3.3.1 POR QU PUEDEN COMETERSE DELITOS POR COMPUTADOR 8 3.3.2 CMO PUEDE COMETERSE EL DELITO POR COMPUTADOR 9 3.3.3 PERFIL DE LOS QUE COMENTEN DELITOS POR COMPUTADOR 10 3.3.4 FACTORES QUE HAN PERMITIDO EL INCREMENTO DE DELITOS POR COMPUTADOR 10

4 Elementos Administrativos de la Seguridad 11

4.1 POLTICA DE SEGURIDAD EN COMPUTACIN 11 4.1.1 CUANTIFICACIN DE RIESGOS 11 4.1.2 COMPROMISO GERENCIAL 12 4.1.3 POLTICAS DE RESPALDOS 12 4.1.4 POLTICAS ANTIVIRUS 13 4.2 ORGANIZACIN Y DIVISIN DE RESPONSABILIDADES 13 4.3 SEGURIDAD FSICA Y CONTRA INCENDIOS 15 4.4 POLTICAS DE PERSONAL 18 4.5 SEGUROS 19 4.5.1 PROBLEMAS TRADICIONALES 19 4.5.2 REAS DE RIESGO ASEGURABLES 19 4.5.3 SERVICIOS DE SEGURO ESPECIALIZADOS EN EL RAMO DE LA COMPUTACIN. 20 4.5.4 SEGUIMIENTO DE LOS CAMBIOS EN LOS RIESGOS 21

5 Elementos Tcnicos y Procedimentales de la Seguridad 22

5.1 SEGURIDAD DE LOS SISTEMAS 22 5.2 SEGURIDAD DE LA APLICACIN 24 5.3 ESTNDARES 25 5.4 FUNCIN DE AUDITORA 26 5.5 PLANES DE CONTINGENCIA 27 5.5.1 TIPOS DE DESASTRE 27 5.5.2 PROCEDIMIENTOS EN CASO DE DESASTRES 27 5.5.3 SIMULACROS DE DESASTRES 28


v

5.5.4 ANLISIS DE IMPACTO 28

6 Los Cortafuegos o Firewalls 30

6.1 QU SON LOS CORTAFUEGOS EN INFORMTICA? 30 6.2 HISTORIA DE LOS CORTAFUEGOS 31 6.2.1 PRIMERA GENERACIN CORTAFUEGOS DE RED: FILTRADO DE PAQUETES 32 6.2.2 SEGUNDA GENERACIN CORTAFUEGOS DE ESTADO 33 6.2.3 TERCERA GENERACIN - CORTAFUEGOS DE APLICACIN 33 6.2.4 ACONTECIMIENTOS POSTERIORES 34 6.3 TIPOS DE CORTAFUEGOS 35 6.3.1 NIVEL DE APLICACIN DE PASARELA 35 6.3.2 CIRCUITO A NIVEL DE PASARELA 35 6.3.3 CORTAFUEGOS DE CAPA DE RED O DE FILTRADO DE PAQUETES 35 6.3.4 CORTAFUEGOS DE CAPA DE APLICACIN 36 6.3.5 CORTAFUEGOS PERSONAL 36

7 Ingeniera Social 37

7.1 QU ES INGENIERA SOCIAL? 37 7.2 CMO SE HACE INGENIERA SOCIAL? 40 7.2.1 SUPLANTACIN DE IDENTIDAD O PHISHING 42 7.2.2 SPEAR PHISHING 47 7.2.3 SIMPLE EMBAUCAMIENTO 48 7.2.4 ENVO DE ARCHIVOS ADJUNTOS EN EL CORREO ELECTRNICO 48 7.2.5 RECOLECCIN DE HBITOS DE LAS VCTIMAS POTENCIALES 49 7.2.6 REVISIN DE DESPERDICIOS O BASURA 50 7.2.7 VISHING 51 7.3 HASTA DNDE ES TICO HACER INGENIERA SOCIAL? 51 7.4 PROLIFERACIN DE REDES SOCIALES Y SUS IMPLICACIONES EN LA INGENIERA SOCIAL 52 7.5 CMO SE EVITA LA INGENIERA SOCIAL? 54

8 Normas Iso 27000 57

8.1 QU ES ISO? 57 8.2 QU ES LA NORMA ISO 27000? 58 8.3 QUINES CONFORMAN LA FAMILIA DE LA NORMA ISO 27000? 58 8.4 QU OBTENGO SI IMPLANTO ISO 27000 EN MI ORGANIZACIN? 59 8.5 EN QU TIPO DE EMPRESAS PUEDE IMPLANTARSE ISO 27000? 60 8.6 VENTAJAS DE IMPLANTAR ISO 27000 60

9 Referencias Bibliogrficas 61

9.1 BIBLIOGRAFA 61 9.2 WEBGRAFA 61


1

1 INTRODUCCIN

A travs de las siguientes pginas, se

pretende dar una idea muy general y amplia

acerca del tpico Seguridad en Informtica,

las cuales debern ser ampliadas por el lector

a travs de lecturas e investigaciones

complementarias.

La tecnologa informtica desarrollada en los

ltimos tiempos ha convertido al computador

en una herramienta indispensable en las organizaciones de hoy da, ya que

proporciona los medios para un control efectivo sobre los recursos que maneja

y las operaciones que realiza. Pero esa situacin tambin presenta otras

consecuencias, como son: fcil acceso a la informacin, creciente

dependencia al computador, creciente nmero de personas con estudios en

computacin, entre otras, que hacen vulnerables a las organizaciones desde el

punto de vista informtico.

Ha persistido un auge en delitos y fraudes informticos, cometidas por

diversas personas y utilizando diversos mtodos y caminos para ello. Es por

eso que se debe tomar en cuenta la Seguridad en los Centros de Computo,

para hacer frente a cualquier circunstancia (intencional o no) que pudiese

afectar su funcionamiento normal. Es propicia la ocasin para recordar el

antiguo adagio de Ms vale prevenir que lamentar, ya que todas las medidas

que se tomen no bastarn para mantener la Seguridad.

Antes de entrar en materia, debemos definir los trminos bsicos a

utilizar:

Seguridad: Condicin de un sistema en la cual nos encontramos

libres de riesgo de prdidas inaceptables1. En trminos sencillos, es

1 COHEN & otros. Auditora de Sistemas. Pgina 18.


2

el tomar las medidas necesarias para evitar prdidas o para obtener

proteccin.

Informtica: Aplicacin racional, sistemtica de la informacin para el

desarrollo econmico, social y poltico2. Como quiera que el trmino

Informtica es un galicismo conformado por los vocablos

Informacin y Automatizacin. o Automtico, se puede decir

tambin que es el manejo automatizado de la informacin.

Seguridad en Informtica: Todas las medidas necesarias para evitar

riesgo y prdidas de la Informacin y de los equipos en que reside.

Los temas especficos a tratar estn conformados por:

Antecedentes y Consecuencias de la falta de seguridad

Auditoria de Sistemas

Elementos administrativos de la Seguridad

Elementos tcnico y procedimentales de la Seguridad

Ingeniera Social

Normas ISO 27000

2 ECHENIQUE, Jos. Auditora en Informtica. Pgina 3.


3

2 ANTECEDENTES Y CONSECUENCIAS DE LA FALTA DE SEGURIDAD

2.1 Antecedentes

La seguridad tradicional siempre se ha enfocado hacia

la seguridad fsica (acceso y contra incendios) y la

seguridad de datos y archivos. El trmino actual de

seguridad debe abarcar, adems de lo tradicional, lo

referente a seguridad en aspectos administrativos y

seguridad en los aspectos tcnicos y procedimentales,

lo cual conformara el Concepto de Seguridad Total en Computacin (CST)3.

El cambio en el enfoque viene dado por ciertos factores, como son:

Concentracin del procesamiento y aplicaciones ms grandes y de

mayor complejidad

Dependencia en el personal clave

Desaparicin de controles tradicionales

Terrorismo urbano e inestabilidad social

Mayor conciencia de los fabricantes y proveedores de computadoras

Es por ello que la CST debe incluir los siguientes aspectos.

Elementos administrativos:

Polticas de seguridad

Organizacin y divisin de responsabilidad

Seguridad fsica y contra incendios

Polticas de personal

Seguros

Elementos tcnicos y procedimentales

Seguridad de los sistemas

Seguridad de la aplicacin

Estndares

3 FINE, Leonard: Seguridad en los Centros de Cmputo.


4

Funcin de auditoria

Planes de contingencia

2.2 Consecuencias de la Falta de Seguridad

Las consecuencias de la falta de seguridad se pueden clasificar en:

Prdida de activos

Activos fsicos:

Dinero

Valores

Inventarios

Maquinarias y equipos

Activos de informacin.

Secretos comerciales

Datos personales

Procedimientos de operacin

Otros datos sensibles

Activos intangibles:

Reputacin

Buena fe

Posicionamiento en el mercado

Nivel de servicio a los clientes

Interrupcin de las actividades

Prdidas de ingresos

Perdidas de ventas

Incapacidad para pagar las deudas

Incapacidad de controlar los activos

Violaciones a las ley

Fraude

Corrupcin

Extorsin


5

Falsificacin

Robo

Violacin de contratos comerciales

2.3 Causas que pueden originar dichas consecuencias

Las causas que pueden originar dichas consecuencias se pueden agrupar en:

Fallas humanas

o Personas autorizadas por error, omisin o duplicacin

o Personas no autorizadas accidental o intencionalmente

Fallas tcnicas

o Hardware

o Software

o Comunicaciones

o Servicios (luz, agua, aire acondicionado,

etc.)

Fuerzas de la naturaleza

o Fuego

o Terremoto

o Inundaciones

Los costos de los medios para proteger un sistema se van a incrementar de

acuerdo a la categora, preparacin y recursos que tenga la persona intrusa.

El nivel de seguridad dentro de una organizacin debe ser medido por

comparacin entre el riesgo de las prdidas en su ausencia y el grado de

proteccin, que se logra en su presencia.

Los controles son los mecanismos o medios de proteccin que se incorporan

en una organizacin a fin de lograr un nivel de seguridad aceptable.

Comprenden los planes, procedimientos y registros para preservar los activos

y confiabilidad.

Lamentablemente, no podemos probar que un sistema es absolutamente

seguro, ya que no podemos concebir todas las maneras de burlar los

controles. Es de hacer notar que el 96% de los delitos mediante el


6

computador han sido descubiertos por accidente, y la gran mayora no se

divulga, para evitar dar ideas a personas malintencionadas.


7

3 AUDITORA DE SISTEMAS

3.1 Conceptos bsicos de Auditora

3.1.1 Tipos de Auditoria

Financiera: evala informacin financiera y

econmica.

Administrativa u organizativa: es el

examen global y constructivo de la

estructura de una empresa, institucin, u

organizacin, en cuando a sus planes y

objetivos, mtodos y controles, operacin

y recursos humanos y fsicos.

de Personal: busca verificar que el recurso humano de la empresa es el

adecuado para formar parte de ella, en calidad y cantidad. Para ello

debe tomar en cuenta adiestramiento (planificado y ejecutado), plazas

vacantes existentes, perfiles de cargo e inclusive escalas de sueldos.

De Gestin: evala los procesos de toma de decisiones en una

organizacin.

De Sistemas: evala sistemas automatizados.

3.1.2 Clasificacin por Naturaleza del Equipo

Interna: realizada por personal propio de la organizacin.

Externa: realizada por personal contratado especficamente para ese

fin.

3.2 Auditora de Sistemas

Detecta fraudes, errores o atentados en los sistemas a travs de controles

oportunos.


8

3.2.1 Clasificacin de acuerdo a su enfoque

Durante el desarrollo de los sistemas: a medida que se van

desarrollando los sistemas, se hace de una vez el seguimiento de las

actividades, cumplimiento de normas y estndares, y adecuacin de los

programas, entre otras actividades.

Despus de la implantacin: una vez que el sistema est en produccin,

se verifica su funcionamiento, a travs de las herramientas y tcnicas

necesarias.

3.2.2 Clasificacin de acuerdo al alcance

En torno al computador: revisa los procedimientos para la entrada de

los datos, y para la emisin y distribucin de los distintos reportes y

salidas.

En el computador: revisa el funcionamiento del sistema automatizado

como tal.

3.2.3 Herramientas y Tcnicas utilizadas

Observacin.

Cuestionarios

Entrevistas

Pista de Auditoria

Programas especficos

Bibliotecas de Prueba

3.3 Anlisis de los delitos a travs del computador

Para poder determinar los elementos del problema de seguridad, se debe

identificar el cundo, dnde, por qu y cmo se origina, y quin los origina.

3.3.1 Por qu pueden cometerse delitos por computador

Avaricia.

Deseo de la buena vida y de posesiones materiales.

Problemas financieros.


9

Vivir por encima de los propios medios.

Deudas de juego

Enfermedades familiares

Educacin de los hijos

Entre otros

Auto gratificacin del ego, por el reto de hacerlo.

Caridad o Sndrome de Robin Hood (para entregar a los pobres)

Venganza por insatisfaccin personal (subempleo, ascensos negados,

falta de reconocimiento, envidia).

Omisiones o errores en los sistemas.

Beneficios para la organizacin.

Mentalidad turbada.

3.3.2 Cmo puede cometerse el delito por computador

Falsificacin de datos de entrada antes o durante su introduccin al

computador (falsificacin o sustitucin de documentos, cambio de discos

o cintas, etc.)

Caballo de Troya, a travs de la

insercin encubierta de instrucciones

adicionales en un programa para que

ejecute instrucciones o autorizadas

cuando ste en produccin.

Salami, que consiste en el robo de

pequeas cantidades de activos de un

gran nmero de fuentes.

Bomba de tiempo, a travs de la insercin de instrucciones no

autorizadas en un programa, el cual al ser ejecutado en un momento

determinado determina condiciones o estados que facilitan la realizacin

de actos maliciosos no autorizados.

Superzapping, a travs de herramientas utilitarias como el Superzap,

que permite borrar o alterar archivos y programas.


10

Puerta Trasera, que consiste en que los programadores insertan ayudas

de depuracin que proporcionan brechas en el cdigo para la insercin

de instrucciones adicionales y facilidades para la obtencin de salidas

intermedias.

Rastreo, que consiste en la

bsqueda y obtencin que pudo haber

quedado disponible luego de la ejecucin de

un trabajo, normalmente a travs de copias

descartadas de listados, papeles carbn

descartados, archivos temporales, bfer,

etc.

Filtracin de la informacin.

Intercepcin electrnica en la comunicacin.

Simulacin y Modelaje.

3.3.3 Perfil de los que comenten delitos por computador

Posicin % Incidentes

Altos Ejecutivos 9

Personal de Informtica 19

Personal de Contabilidad 13

Tesorero 7

Personal de almacn 13

Combinaciones 39

Total 100

3.3.4 Factores que han permitido el incremento de delitos por computador

Aumento del nmero de personas estudiando computacin.

Aumento del nmero de empleados con acceso a los equipos.

Facilidad en el uso de los equipos.

Incremento en la concentracin del nmero de aplicaciones y de la

informacin.


11

4 ELEMENTOS ADMINISTRATIVOS DE LA SEGURIDAD

4.1 Poltica de Seguridad en Computacin

La seguridad depende de la integridad de los individuos que conforman a la

organizacin. Es posible obtener ciertos niveles mnimos de seguridad sin

hacer un gasto considerable, pero para obtener proteccin adicional se

requiere realizar otros gastos. La economa siempre es necesaria, pero lo

importante es buscar que exista una relacin beneficio/costo razonable.

Tambin debe existir un equilibrio entre las medidas de seguridad y los niveles

de riesgo, tomando en cuenta que no todos lo Centros de Cmputo tienen las

mismas exigencias de seguridad. No se debe exagerar el nivel de seguridad

en situaciones de bajo riesgo, y en situaciones de alto riesgo debe existir un

nivel de seguridad alto.

4.1.1 Cuantificacin de Riesgos

Para lograr alcanzar dicho equilibrio, primeramente se debe hacer una

cuantificacin de riesgos, de acuerdo a los siguientes pasos:

Clasificacin general de las instalaciones en trminos de riesgo alto,

medio y bajo:

Las instalaciones de alto riesgo pueden presentar:

o Datos o programas que

contengan informacin

confidencial.

o Prdida financiera potencial para

la comunidad.

o Prdida potencial para la organizacin.

Las instalaciones de riesgo medio son aquellas en cuya

interrupcin prolongada ocasiona grandes inconvenientes y

quizs el incremento de costos, pero poca prdida material.

Las instalaciones de bajo riesgo son aquellas en las que el

procesamiento retardado tienen poco impacto material en la

institucin en trminos de costo


12

Identificacin de las aplicaciones que constituyen riesgo altos:

Elaboracin de una lista de aplicaciones por orden de riesgo.

Cuantificacin del riesgo

Obtencin del consenso sobre los niveles de riesgo.

Evaluacin de las medidas de seguridad existentes.

Evaluacin de medidas de seguridad opcionales.

Justificacin de las medidas de seguridad en cuanto al costo que

representan.

4.1.2 Compromiso Gerencial

No podemos terminar este punto, sin hablar del

compromiso que debe existir con la Poltica de

Seguridad. La Alta Gerencia es la que va a tomar

todas las decisiones correspondientes a la Seguridad

y a los niveles de gasto requeridos. Pero, quin va a

tener la responsabilidad de la Seguridad en

Informtica? Muchos podran pensar que el Gerente

o Jefe de la Unidad de Computacin de la

Organizacin, pero no es as. Este se debe encargar de los asuntos de riesgo

tcnico de los equipos de computacin, y los dems Gerentes o Jefe se deben

encargar de los asuntos de riesgo comercial.

4.1.3 Polticas de Respaldos

Al margen de lo sealado anteriormente, en la Unidad de

Computacin debe existir una poltica definida acerca de los respaldos de los

datos, aplicaciones, sistemas operativos y documentacin. Dicha poltica debe

contener al menos:

Responsable de los respaldos respectivos.

Contenido de los respaldos.

Frecuencia de los respaldos.

Lugares donde se almacenarn los respaldos.


13

Medios para hacer los respaldos

Discos flexibles.

Pen drives

Cartuchos de cinta.

Otro disco duro.

Dispositivos RAID (Redundant

Array of Inexpensive Disks)

Discos duros removibles.

CD-ROM.

DVD

DAT (Digital Audio Tape).

En la Nube (Cloud Computing)

4.1.4 Polticas Antivirus

Tambin debe existir una poltica especifica para prevenir los virus

informticos en los sistemas, y debe ser difundida por el Centro de

Computacin a todos los usuarios. Dichas polticas podran incluir.

No copiar programas ilegales o sin licencia en los equipos de la

empresa.

Instalar programas antivirus en los equipos, en disco duro y en

memoria residente.

Analizar los discos flexibles o pen drives a ser usados, con un

antivirus, antes de introducirlos en los equipos.

4.2 Organizacin y Divisin de responsabilidades

Las actividades que se llevan a cabo, en cuanto a organizacin y divisin de

responsabilidades en un Centro de Cmputo, son.

Divisin de responsabilidades:

o El personal que ingresa los datos no debera tener acceso a

las actividades de operacin.

o Los analistas de sistemas y programadores no deben tener

acceso a las actividades de operacin, y viceversa.


14

o Los operadores no deben tener

acceso irrestricto a las

funciones de proteccin de

informacin o a los archivos

maestros.

o Los operadores no deben tener

control nico del procesamiento del trabajo.

o Slo el administrador debe poseer acceso como sper

usuario.

Formacin de sistemas de control interno:

o Las modificaciones a los programas deber ser autorizadas y

suficientemente probadas.

o Se deben documentar los sistemas de manera adecuada y

progresiva.

o Los usuarios que hacen entrada de datos deben verificar

apropiadamente que los mismos sean correctos.

o Los datos de entrada deben ser revisados (basura entra,

basura sale)

o Se deben documentar los errores.

Asignacin de responsabilidades de seguridad.

o Deberes de la Alta Gerencia.

Definir la poltica de seguridad.

Garantizar la existencia de planes de

contingencia.

o Deberes del Gerente/Jefe de la Unidad de

Computacin/Sistemas:

Identificar las exigencias de seguridad en planes

a largo plazo.

Aplicar rutinariamente las medidas de seguridad:

en el diseo de nuevas aplicaciones,


15

en la ejecucin de aplicaciones

existentes,

en el Centro de Cmputo,

entre otros.

Sustitucin del Personal Clave.

o Todo personal clave debe contar con su reemplazo

correspondiente.

4.3 Seguridad Fsica y Contra Incendios

Ubicacin y construccin del centro de cmputo:

o Deben estar ubicados

alejados de zonas muy

transitadas, casi de manera

clandestina.

o Se debe tratar de evitar en lo

posible tener paredes de

vidrio, ya que son

vulnerables y muestran todo lo que est adentro.

o El material de construccin debe ser no inflamable, y se

recomienda altamente la instalacin de cielo raso y de piso

falso (para efectos de canalizar mejor los cableados fuera

de la vista y para mantener la temperatura).

o La sala de mquinas, o el ambiente donde estn(n)

ubicado(s) equipo(s) servidores (es), debe estar lo ms

aislado posible, y debe tener facilidad para controlar su

acceso.

Aire acondicionado: es indispensable para mantener operativos los

equipos de computacin, pero son una fuente frecuente de incendios.

Se recomienda:

o Instalar equipos de aire acondicionado de respaldo en

instalaciones de alto riesgo, en caso de daarse el equipo

de aire principal.


16

o Instalar extintores y detectores

de incendio en la Sala de

Mquinas y en los ductos.

o Instalar medidas de proteccin

para evitar el ingreso de

intrusos a travs de los

ductos.

Suministro de energa:

o Debe existir continuidad y estabilidad de la energa.

o Este problema se resuelva a travs del uso de equipos UPS

(Uninterrupted Power Suply), que permiten el

funcionamiento de los equipos conectados a l al

interrumpirse el suministro de energa elctrica, y

Reguladores de Voltaje y filtros de Lnea que regulan las

altas y bajas de la tensin elctrica.

Riesgo de inundacin:

o Donde exista riego de inundacin, no

se debe colocar el Centro de Computo

en stanos o pisos bajo.

o Otro factor a ser tomado en cuenta es

la ubicacin de las caeras y drenajes

de agua, que tambin podran

ocasionar inundaciones de las instalaciones.

o En caso de no poder lograr otra ubicacin, se deben tomar

las medidas preventivas necesarias (bombas de achique,

alarmas, interrupcin de suministro elctrico, etc.)

Acceso

o rea de recepcin: debe existir un personal en un rea

especfica que controle el acceso al personal.

o Control de acceso a las instalaciones de noche y da, y en

feriados.


17

o Acceso de terceras personas: los visitantes deben ser

identificados plenamente, y controlados y vigilados durante

su permanencia en el centro.

o Alarmas contra robos.

o Uso de tarjetas magnticas de acceso para los empleados

que laboren en el centro, o sencillamente ambientes

cerrados con llave para no permitir el ingreso a personas

extraas.

Proteccin, deteccin y extincin de incendios.

o Los detectores de humo y fuego se deben colocar de

manera que el humo y calor normal que emanen de los

aires acondicionados no interfieran.

o El detector de humo debe ser capaz de detectar los distintos

tipos de humo que se pueden producir.

o Se deben instalar detectores de humo y fuego en la sala de

mquinas.

o Se deben colocar los detectores bajo el piso y en ductos del

aire acondicionado.

o Debe existir una alarma contra incendios, conectada a la

alarma central o a los bomberos.

o Los lugares de almacenamiento de papel y cintas

magnticas son de gran peligrosidad, ya que dicho material


18

es altamente inflamable, por lo cual deben reunir

condiciones especiales.

o Se deben colocar suficientes extintores,

en los lugares apropiados y de fcil

acceso.

o Los extintores deben ser revisados

peridicamente, para verificar su carga.

o Se debe contar con equipos

respiratorios, ya que las cintas magnticas quemadas

despiden humo nocivo.

o Se debe instruir a los bomberos hacer de cmo manipular

los equipos de computacin, para evitar que sufran daos

adicionales.

Mantenimiento

o Refleja una actitud disciplinada y de cumplimiento de

procedimientos adecuados.

o Su ausencia puede ocasionar brechas de seguridad (papel

amontonado puede ocasionar incendios, puertas o ventanas

que no cierran pueden permitir intrusos)

4.4 Polticas de Personal

Polticas de contratacin.

o Verificacin de referencias y antecedentes de seguridad.

o Pruebas psicolgicas

o Exmenes mdicos.

Procedimientos para evaluar el desempeo: valoran la efectividad de

los aspectos administrativos y de trabajo, evalan las actitudes hacia

el trabajo y los sentimientos generales hacia la institucin.

Poltica sobre permisos: el personal debe disponer de permisos que le

ayuden a aliviar el estrs.


19

Rotacin de puestos: tiene la desventaja que un solo individuo tiene

acceso a conocer de muchas aplicaciones y programas, pero tiene la

ventaja que hace que no sean indispensables los trabajadores.

Evaluacin de las Actitudes del Personal: mientras ms motivado ste

el empleado, menos posibilidad existir de que sea desleal o que

existan brechas de seguridad,

4.5 Seguros

4.5.1 Problemas tradicionales

Vaco de comunicacin existente, ya

que los aseguradores no tienen el

conocimiento tcnicos de

computacin y los tcnicos de

computacin no conocen acerca de

los seguros.

No hay entendimiento cabal respecto

a los riesgos y sus consecuencias, por

lo cual pocos usuarios de

computacin gozan de la cobertura adecuada para todos los riesgos.

4.5.2 reas de Riesgo Asegurables

Riesgos ambientales externos

o Explosivos y material o procesos inflamables.

o Atmsferas txicas, calientes, con gas, polvo o abrasivos.

o Riesgos de inundacin en las reas baja.

Riesgos ambientales internos.

o Fuentes de energa.

o Equipos de aire acondicionado.

o Aparatos que contienen agua (calefaccin central o drenajes)

Equipos, que abarca la totalidad de la instalacin del Centro de

Cmputo.

o Riesgos por causas externas


20

Fuego

Terremoto

Inundaciones

Tumultos civiles

Robo

Etc.

o Riesgos por causas internas

Acciones deliberadas o negligencia (no todas son

cubiertas por los seguros)

Daos a consecuencia del paro prolongado del aire

acondicionado.

Etc.

Programas y Datos

Interrupcin comercial y su recuperacin: plizas para amparar el

lucro cesante.

Personal (revisar Plizas Colectivas del personal)

o Riesgos elctricos o mecnicos

o Riesgos provenientes de los dispositivos de proteccin

o Riesgos provenientes de los dispositivos de proteccin

o Riesgos por condiciones de trabajo excepcionales

o Riesgos por falta de conocimiento

Responsabilidades de terceras personas: normalmente no son

cubiertas por las plizas.

4.5.3 Servicios de Seguro Especializados en el ramo de la Computacin.

Existen, a nivel mundial, empresa de seguros especializadas en el ramo

de la computacin, que cuentan con personal capacitado en computacin y

que conocen los riesgos inherentes. Ofrecen adems plizas especiales para

usuarios de computacin. Esto contribuye a disminuir el vacio de

comunicacin mencionado con anterioridad.


21

4.5.4 Seguimiento de los cambios en los riesgos

Los riesgos asegurables cambian en forma progresiva, y se debe

garantizar que los riesgos estn cubiertos y las plizas actualizadas. Se

recomienda la formacin de un comit lleve a cabo dicho seguimiento,

conformado por personal de las unidades:

De computacin

De finanzas o administracin

De auditoria o contralora (interna o externa)

De la compaa de seguros


22

5 ELEMENTOS TCNICOS Y PROCEDIMENTALES DE LA SEGURIDAD

5.1 Seguridad de los Sistemas

Equipos: se debe definir, en el manual de operaciones del personal,

los procedimientos para evitar malos manejos en la operacin del

equipo que puedan crear riesgo de negligencia o accidente.

Programas:

Restringir el acceso a programas y

archivos

Aplicar medidas antivirus

Asegurar que los operadores

puedan trabajar sin una supervisin

rigurosa, y necesiten autorizacin

para modificar programas y

archivos.

Asegurar que se usen los datos, archivos y programas correctos.

Identificar y eliminar las Puertas Traseras en los programas.

Proteccin contra acceso remoto no autorizado y/o interferencia

electrnica: se deben implantar medidas para evitar que personas no

autorizadas ingresen remotamente a los sistemas (hackers). Se

recomienda el uso de criptografa para el envo de informacin.

Seguimiento del Desempeo: existe el peligro de considerar los ms

complejos riesgos e ignorar los obvios. Se debe hacer uso de

herramientas de administracin y monitoreo para verificar que los

usuarios lleven a cabo las tareas asignadas y autorizadas, as como

herramientas para monitorear accesos infructuosos y/o accesos no

autorizados a los sistemas.

Existen diversas metodologas para proporcionar seguridad de acceso a los

sistemas grandes de tipo mainframe o mini computador.

Identificacin/Autenticacin:

o Asegura el saber quienes son los usuarios


23

o Obliga a los usuarios a cambiar de clave con frecuencia

o Criptografa las claves de acceso en la memoria ROM

o Permite emitir tarjetas de acceso.

Control de acceso discrecional:

o Regula quienes tienen acceso a cules aplicaciones, archivos

y/o servidores.

o Asigna niveles de seguridad para el acceso de los datos.

Control de Auditoria:

o Registra cules programas han sido usados, cules archivos se

han abierto o modificado, las operaciones del E/S etc.

Reusabilidad de Objetos:

o Limpia la memoria (RAM o ROM) y elimina material

confidencial, una vez que se ha usado.

o Desconecta terminales inactivos.

Asegurar las comunicaciones:

o Protege las redes cuando salen del entorno de la empresa.

o Criptografa los datos antes de enviarlos a redes pblicas o

inalmbricas.

Existen diversos factores que pueden afectar la seguridad de un sistema:

Manejo pobre de mdems.

Transmisin de archivos no

criptografiados.

Indiferencia ante la seguridad.

Temor ante los costos de seguridad.

No se usa la criptografa.

Claves de acceso dbiles y obvias.

No hay validacin/verificacin de usuarios.

No se inspecciona el software nuevo.

No hay procedimientos antivirus.

Empleados descontentos o deshonestos

Errores de programacin.


24

Aplicaciones no autorizadas.

No hay controles de auditora.

5.2 Seguridad de la Aplicacin

Comunicacin entre el personal de computacin y los usuarios: debe

existir una unidad o encargado de canalizar todas las solicitudes de

los usuarios referentes a quejas, solicitudes, modificacin de

programas, y otros servicios4. De igual forma, todas las

modificaciones a los programas y archivos maestros deben quedar

asentadas y archivadas.

Controles del usuario: el usuario tiene la responsabilidad de asegurar

que los datos recolectados estn completos y precisos, y una vez

ingresados se debe asegurar que los datos sean procesados e

incluidos en los archivos correspondientes.

Controles de procesamiento de datos:

o Divisin de la responsabilidad entre captura de datos y

operacin.

o Divisin de la responsabilidad entre operaciones y archivo.

o Registro de evidencias que reflejen la transferencia de

registros y datos.

o Control sobre la precisin y distribucin de resultados.

Seguridad de los archivos:

o Almacenamiento de las copias de

respaldo en un lugar distante.

o Identificacin y control de los

archivos a travs de etiquetas u

otros medios.

o Acceso fsico restringido a las

cintotecas o archivos de cintas o discos.

4 Help Desk, Call Center, Atencin al Usuario, entre otras denominaciones.


25

o Precisin de los archivos (mediante el conteo de registros

y/o conteos binarios).

Revisin regular de los controles de aplicacin, a travs de la unidad

de auditara o contralora interna, y de la auditara de sistemas.

5.3 Estndares

El uso de estndares adecuados y de tcnicas estructuradas y

establecidas de anlisis, diseo y programacin mejoran automticamente el

nivel de seguridad de las aplicaciones.

Sistemas y estndares de programacin.

o Seguridad y

planificacin a largo

plazo: slo una minora

de instalaciones cuenta

con un enfoque de

planificacin

estructurado y definido,

aunque existe la tendencia a mejorar dicha situacin. La

planificacin es un prerrequisito clave para la incorporacin

de estndares de seguridad en las polticas cotidianas de

operacin.

o Garanta de calidad de la aplicacin a corto plazo.

Seguridad de los programas y del equipo: Se debe

definir de manera clara y precisa la seguridad con

respecto al uso de los archivos y programas. Se

deben definir los niveles de seguridad y acceso para

cada usuario en particular, aprovechando las

bondades que ofrecen los sistemas operativos y

manejadores de base de datos actuales, que

permiten restringir las operaciones de lectura,

escritura y ejecucin sobre programas, archivos,

directorios, carpetas, etc.


26

Supervisin y mtodos de trabajo: se deben

programar actividades de auditora para comprobar la

correcta ejecucin de los procedimientos y

operaciones, y el correcto estado de los datos.

o Documentacin:

Almacenar respaldo en lugar distante.

Los manuales tcnicos de operacin y mantenimiento

no deben ser de libre acceso para todo el personal.

Operaciones: se deben tomar en cuenta:

o Buenas prcticas de mantenimiento.

o Evitar las malas prcticas de operacin del equipo y de

programacin.

o Procedimientos para el uso de copias de respaldo de

programas, datos o archivos.

o Procedimientos para el anlisis, diseo y programacin de

aplicaciones.

o Procedimientos para entrega de aplicaciones al usuario

(puesta en produccin).

Normas ISO 27000:

o ISO/IEC 27000 es un conjunto de estndares desarrollados

por ISO la (International Organization for Standardization) e

IEC (International Electrotechnical Commission), que

proporcionan un marco de gestin de la seguridad de la

informacin utilizable por cualquier tipo de organizacin,

pblica o privada, grande o pequea.

5.4 Funcin de Auditora

Las funciones de auditora interna y

externa desempean un papel importante en

la seguridad de los Centros de Cmputo.

Los principales aspectos a considerar son:


27

El alcance de la auditoria interna y externa.

La relacin entre la auditoria interna y externa

Las funciones de la auditoria interna dentro de las etapas de

desarrollo y de operacin de los sistemas.

5.5 Planes de Contingencia

5.5.1 Tipos de desastre

Destruccin completa de los recursos

centralizados de procesamiento de datos.

Destruccin parcial de los recursos

centralizados de procesamiento de datos.

Destruccin o mal funcionamiento de los

recursos ambientales destinados al

procesamiento centralizado de datos (aire acondicionado, energa

elctrica, etc.)

Destruccin total o parcial de los recursos descentralizados de

procesamiento de datos.

Prdida del personal tcnico clave.

Interrupcin por huelga.

5.5.2 Procedimientos en caso de desastres

Deben especificar.

Las responsabilidades en caso de desastre y la organizacin que

entrar en vigencia.

La accin inmediata a seguir:

o Organizacin y responsabilidades para la recuperacin.

o Clasificacin del tipo de desastre

o Evaluacin de los daos

o Determinacin de prioridades

o Informacin de la situacin a los usuarios y a la alta

gerencia.

o Plan de accin para la recuperacin.


28

Los planes contra desastres deben ser lo ms detallados y explcitos

posible, ya que muchas veces no hay tiempo para pensar en un

desastre qu es lo que se va a hacer.

Todo el personal requiere adiestramiento regular en el plan contra

desastres.

La aplicacin de las prcticas convenientes para aumentar la

seguridad se debe hacer como rutina.

Los planes y documentacin contra desastres deben ser conocidos

por poco (pero suficiente) personal, ya que la difusin excesiva de

dichos planes es una amenaza para la seguridad.

5.5.3 Simulacros de desastres

Su importancia radica en los siguientes factores:

Se prueban la conciencia y preparacin del

personal para afrontar el desastre.

Se identifican las omisiones en los planes

contra desastres.

El elemento sorpresa constituye una buena

verificacin moral para garantizar que estn

vigentes las buenas prcticas de seguridad.

Los simulacros pueden hacerse para desastres parciales o totales, y de una

manera espordica, sin anunciarse con anticipacin, ya que se perdera el

factor sorpresa. De igual forma, a pesar de que el realismo es importante, un

realismo exagerado puede transformar el simulacro en un desastre real.

5.5.4 Anlisis de Impacto

Se rene el siguiente inventario:

Aplicaciones en desarrollo.

Aplicaciones en produccin

Informacin perdida

Informe de respuesta del personal y detalles sobre el conocimiento no

apropiado.


29

Cuantificacin de la prdida por la destruccin de informacin o la

interrupcin del proceso.

Efectividad de los procedimientos de recuperacin y respaldo,

basados en el uso real de la informacin y equipos de respaldo.

Luego de haberlo reunido, se hace un anlisis de las debilidades

detectadas durante el simulacro y se formula un plan de accin para la

correccin de todas esas debilidades.


30

6 LOS CORTAFUEGOS O FIREWALLS

6.1 Qu son los Cortafuegos en Informtica?

Un firewall es un dispositivo que sirve como

proteccin entre redes, permitiendo o

negando las transmisiones de una red a otra.

Un uso tpico es situarlo entre una red local y

la Internet, como dispositivo de seguridad

para evitar que personas ajenas puedan

tener acceso a informacin confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que

pasan de una red a otra y en funcin de lo que sean permite o niega su paso. Para

permitir o negar una comunicacin, el firewall examina el tipo de servicio al que

corresponde, como pueden ser el web, el correo o el IRC5. Dependiendo del

servicio el firewall decide si lo permite o no. Adems, el firewall examina si la

comunicacin es entrante o saliente y dependiendo de su direccin puede

permitirla o no.

De este modo un firewall puede permitir desde una red local hacia Internet

servicios de web, correo y ftp6, pero no a IRC que puede ser innecesario para el

trabajo. Tambin se pueden configurar los accesos que se hagan desde Internet

hacia la red local y se pueden denegarlos todos o permitir algunos servicios como

Internet, (si es que se posee un servidor web y se quiere que sea accesible desde

Internet). Dependiendo del firewall que tengamos tambin se podrn permitir

algunos accesos a la red local desde Internet si el usuario se ha autentificado

como usuario de la red local.

Un firewall puede ser un dispositivo software o hardware, es decir, un aparato que

se conecta entre la red y el cable de la conexin a Internet, o bien un programa

5 IRC (Internet Relay Chat) es un protocolo de comunicacin en tiempo real basado en texto, que

permite debates entre dos o ms personas. 6 FTP (File Transfer Protocol, 'Protocolo de Transferencia de Archivos') es un protocolo de red para

la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor.


31

que se instala en la mquina que tiene el modem que conecta con Internet. Incluso

se pueden encontrar computadores muy potentes y con software especfico que lo

nico que hace es monitorear las comunicaciones entre redes.

6.2 Historia de los Cortafuegos

El trmino "firewall / fireblock" significaba

originalmente una pared para confinar un incendio

o riesgo potencial de incendio en un edificio. Ms

adelante se us para referirse a las estructuras

similares, como la hoja de metal que separa el

compartimiento del motor de un vehculo o una

aeronave de la cabina.

La tecnologa de los cortafuegos surgi a finales

de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso

global y la conectividad. Los predecesores de los cortafuegos para la seguridad de

la red fueron los routers utilizados a finales de 1980, que mantenan a las redes

separadas unas de otras. La visin de Internet como una comunidad relativamente

pequea de usuarios con mquinas compatibles, que valoraba la predisposicin

para el intercambio y la colaboracin, termin con una serie de importantes

violaciones de seguridad de Internet que se produjo a finales de los 1980s:

Clifford Stoll, que descubri la forma de manipular el sistema de espionaje

alemn.

Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para

observar a un atacante.

En 1988, un empleado del Centro de Investigacin Ames de la NASA, en

California, envi una nota por correo electrnico a sus colegas que deca:

o "Estamos bajo el ataque de un virus de Internet! Ha llegado a

Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA

Ames."

El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en

las mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el


32

primer ataque a gran escala sobre la seguridad en Internet; la red no

esperaba ni estaba preparada para hacer frente a su ataque.

6.2.1 Primera generacin cortafuegos de red: filtrado de paquetes

El primer documento publicado y referido a

la tecnologa firewall data de 1988, cuando

el equipo de ingenieros Digital Equipment

Corporation (DEC) desarroll los sistemas

de filtro conocidos como cortafuegos de

filtrado de paquetes. Este sistema,

bastante bsico, fue la primera generacin

de lo que se convertira en una

caracterstica ms tcnica y evolucionada de la seguridad de Internet. En AT&T

Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado

de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con

base en su arquitectura original de la primera generacin.

El filtrado de paquetes acta mediante la inspeccin de los paquetes (que

representan la unidad bsica de transferencia de datos entre ordenadores en

Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se

reducir (descarte silencioso) o ser rechazado (desprendindose de l y

enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no

presta atencin a si el paquete es parte de una secuencia existente de trfico. En

su lugar, se filtra cada paquete basndose nicamente en la informacin contenida

en el paquete en s (por lo general utiliza una combinacin del emisor del paquete

y la direccin de destino, su protocolo, y, en el trfico TCP y UDP, el nmero de

puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicacin a

travs de Internet, utilizando por convencin puertos bien conocidos para

determinados tipos de trfico, por lo que un filtro de paquetes puede distinguir

entre ambos tipos de trfico (ya sean navegacin web, impresin remota, envo y

recepcin de correo electrnico, transferencia de archivos); a menos que las


33

mquinas a cada lado del filtro de paquetes estn a la vez utilizando los mismos

puertos no estndar.

El filtrado de paquetes llevado a cabo por un cortafuegos acta en las tres

primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo

lo realiza entre la red y las capas fsicas. Cuando el emisor origina un paquete y es

filtrado por el cortafuegos, ste ltimo comprueba las reglas de filtrado de

paquetes que lleva configuradas, aceptando o rechazando el paquete en

consecuencia. Cuando el paquete pasa a travs de cortafuegos, ste filtra el

paquete mediante un protocolo y un nmero de puerto base (GSS). Por ejemplo, si

existe una norma en el cortafuegos para bloquear el acceso telnet, bloquear el

protocolo IP para el nmero de puerto 23.

6.2.2 Segunda generacin cortafuegos de estado

Durante 1989 y 1990, tres colegas de los

laboratorios AT&T Bell, Dave Presetto,

Janardan Sharma, y Nigam Kshitij,

desarrollaron la tercera generacin de

servidores de seguridad. Esta tercera

generacin cortafuegos tiene en cuenta

adems la colocacin de cada paquete

individual dentro de una serie de

paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado

de paquetes, ya que mantiene registros de todas las conexiones que pasan por el

cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una

nueva conexin, es parte de una conexin existente, o es un paquete errneo.

Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en

curso o ciertos ataques de denegacin de servicio.

6.2.3 Tercera generacin - cortafuegos de aplicacin


34

Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de

un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y

protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegacin

web), y permite detectar si un protocolo no deseado se col a travs de un puerto

no estndar o si se est abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicacin es

mucho ms seguro y fiable cuando

se compara con un cortafuegos de

filtrado de paquetes, ya que

repercute en las siete capas del

modelo de referencia OSI. En

esencia es similar a un cortafuegos

de filtrado de paquetes, con la

diferencia de que tambin podemos filtrar el contenido del paquete. El mejor

ejemplo de cortafuegos de aplicacin es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales

como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo,

si una organizacin quiere bloquear toda la informacin relacionada con una

palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa

palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms

lentos que los de estado.

6.2.4 Acontecimientos posteriores

En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California

(USC), dan forma al concepto de cortafuegos. Su producto, conocido como

"Visas", fue el primer sistema con una interfaz grfica con colores e iconos,

fcilmente implementable y compatible con sistemas operativos como Windows de

Microsoft o MacOS de Apple. En 1994, una compaa israel llamada Check Point

Software Technologies lo patent como software denominndolo FireWall-1.


35

La funcionalidad existente de inspeccin profunda de paquetes en los actuales

cortafuegos puede ser compartida por los sistemas de prevencin de intrusiones

(IPS).

Actualmente, el Grupo de Trabajo de

Comunicacin Middlebox de la Internet

Engineering Task Force (IETF) est trabajando en

la estandarizacin de protocolos para la gestin de

cortafuegos.

Otro de los ejes de desarrollo consiste en integrar

la identidad de los usuarios dentro del conjunto de

reglas del cortafuegos. Algunos cortafuegos

proporcionan caractersticas tales como unir a las identidades de usuario con las

direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan

caractersticas de identificacin real solicitando la firma del usuario para cada

conexin.

6.3 Tipos de cortafuegos

6.3.1 Nivel de aplicacin de pasarela

Aplica mecanismos de seguridad para aplicaciones especficas, tales como

servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin

del rendimiento.

6.3.2 Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexin TCP o UDP es

establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre

los anfitriones sin ms control. Permite el establecimiento de una sesin que se

origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

6.3.3 Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos

TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn

los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino.

A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel


36

de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y

destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI)

como la direccin MAC.

6.3.4 Cortafuegos de capa de aplicacin

Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los

filtrados se pueden adaptar a caractersticas propias de los protocolos de este

nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la

URL a la que se est intentando acceder.

Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que

los computadores de una organizacin entren a Internet de una forma controlada.

Un proxy oculta de manera eficaz las verdaderas direcciones de red.

6.3.5 Cortafuegos personal

Es un caso particular de cortafuegos que se instala como software en un

computador, filtrando las comunicaciones entre dicho computador y el resto de la

red. Se usa por tanto, a nivel personal.


37

7 INGENIERA SOCIAL

Realmente la Ingeniera Social no es una nueva disciplina ni nada por el estilo.

Existe y se viene aplicando desde el principio de la humanidad. Donde hay

embaucadores y timadores, y donde hay incautos e ingenuos, hay Ingeniera

Social. Es muy escuchada la expresin de Todos los das sale un tonto a la calle.

El que lo agarre es de l.

La idea de estas lneas es ofrecer una idea acerca de lo que es la Ingeniera

Social, indicar cmo se lleva a cabo la Ingeniera Social, cmo se pueden evitar

los ataques a travs de la Ingeniera Social, las consecuencias de las apariciones

de las llamadas Redes Sociales, y el discutir hasta dnde es tico hacer Ingeniera

Social.

Una de las medidas ms efectivas para contrarrestar las acciones de la Ingeniera

Social, es el conocimiento. Por lo tanto, mientras ms se conozca, mejor se estar

preparado para no caer en las manos de los Ingenieros Sociales.

7.1 Qu es Ingeniera Social?

A cuntas personas conocemos que nos han dicho que le hackearon su cuenta

de correo? O que alguien hizo operaciones fraudulentas con su cuenta de

usuario en una empresa? O que sencillamente alguien se meti en su Banco

Virtual y le limpi la cuenta? A cuntas personas no le han clonado su tarjeta

de crdito o de dbito? A cuntas personas le han aplicado el paquete chileno?

Pues esas personas han sido vctimas de la llamada Ingeniera Social.

Alvin Toffler (en sus obras La Tercera Ola o The Third Wave y

Cambio de Poder o Powershift, publicadas en 1980 y 1990

respectivamente) habla de las Olas o Eras de la humanidad,

comenzando por la 1ra Ola, donde el poder descansa en quien

tiene la fuerza (o grandes ejrcitos). Con el advenimiento de la

Alvin Toffler


38

Revolucin Industrial llega la 2da Ola, donde quien tiene dinero tiene el poder. En

los tiempos modernos, en la llamada 3ra Ola, se dice que quien posee la

informacin tiene el poder.

Y esto ltimo se corrobora al ver que muchas de las personas influyentes

actualmente, son personas ligadas a los medios de comunicacin, donde

precisamente la materia prima con la que trabajan en la informacin. Podemos

citar por ejemplo a Bill Gates (EEUU), Carlos Slim (Mxico), Ted Turner (EEUU),

Silvio Berlusconi (Italia), entre otros.

Y qu tiene que ver eso con la Ingeniera Social? Qu es Ingeniera Social?

Se puede hacer una recopilacin de varias definiciones que ayudar a dar una

idea ms amplia acerca de la Ingeniera Social:

Tcnica especializada o emprica del uso de acciones estudiadas o

habilidosas que permiten manipular a las personas para que

voluntariamente realicen actos que normalmente no haran.7

Es el conjunto de conocimientos y habilidades que se requieren para

manipular a las personas de tal forma que lleven a cabo una accin que

normalmente no haran.8

Todo artilugio, tretas y tcnicas ms elaboradas a travs del engao de las

personas en revelar contraseas u otra informacin, ms que la obtencin

de dicha informacin a travs de las debilidades propias de una

implementacin y mantenimiento de un sistema.9

7 http://www.perantivirus.com/sosvirus/pregunta/ingsocial.htm

8 http://blogs.technet.com/seguridaddigitalmexico/archive/2009/01/23/ingenier-a-social.aspx

9 http://www.rompecadenas.com.ar/ingsocial.htm


39

Es la prctica de obtener informacin confidencial a travs de la

manipulacin de usuarios legtimos.10

Son tcnicas basadas en engaos que se emplean para dirigir la conducta

de una persona u obtener informacin sensible.11

Es una disciplina que consiste, ni ms ni menos en sacar informacin a otra

persona sin que sta s de cuenta de que est revelando "informacin

sensible".12

Haciendo un anlisis, se puede apreciar, entre las definiciones presentadas hay

una serie de elementos comunes, que se pueden identificar:

La presencia de un Ingeniero Social

o de la persona que busca la

informacin

La presencia de una persona incauta o

inocente, que ofrece la informacin

Herramientas, instrumentos y tcnicas

para encontrar la informacin

Un objetivo definido que se pretende

alcanzar (ya sea obtener lucro o perjudicar y causar dao)

Entonces, se puede decir que simplemente la Ingeniera Social

implica el valerse de cualquier medio para obtener informacin acerca de

una o varias personas, con el fin de alcanzar un beneficio o de causar

algn dao. No se asocia slo a las acciones ejecutas en lnea (o en la

red), y se aprovecha de la credulidad de las personas.

10

http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica) 11

http://www.forospyware.com/glossary.php?do=viewglossary&term=162 12

http://hackandalus.nodo50.org/ftp/ingenieria_social.hack04ndalus.ppt


40

7.2 Cmo se hace Ingeniera Social?

La Ingeniera Social es tan antigua como la humanidad, ya

que desde tiempos inmemorables han existido timadores y

embaucadores.

Y precisamente, el terreno frtil para poder llevar a cabo

una Ingeniera Social viene dado por algunos principios

sealados por Kevin Mitnick13, a la sazn uno de los

llamados padres de la Ingeniera Social:

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

13

http://www.kevinmitnick.com/

Kevin Mitnick


41

Aparte de esos principios, se pueden identificar

otros factores que ayudan al Ingeniero Social en su

labor:

En sistemas de informacin o en redes, el

eslabn ms dbil de la cadena siempre es el

usuario

El miedo y la codicia

La inocencia y la credulidad

Ahora bien, quines hacen Ingeniera Social?

En teora cualquier persona, pero se han identificado

varios grupos que llevan a cabo la actividad, como lo

son:

Detectives privados

Miembros de organismos policiales y/o de inteligencia gubernamental o

comercial

Delincuentes organizados

Hackers14 y Crackers15 (delincuentes organizados, pero orientados hacia la

Tecnologa de Informacin)

Personas curiosas que sientan el deseo de obtener informacin acerca de

otras personas

Algunas de las formas conocidas de hacer Ingeniera Social son:

1. Suplantacin de identidad o Phishing16

2. Spear Phishing17

3. Simple embaucamiento

4. Envo de archivos adjuntos en el correo electrnico

5. Recoleccin de hbitos de las vctimas potenciales

14

Se dedican a entrar en cuentas y/o portales sin autorizacin, por la satisfaccin de haberlo hecho, sin tener finalidad daina o destructiva 15

Se dedican a alterar la informacin y realizar ataques a otros sistemas con una finalidad daina o destructiva 16

Derivacin del vocablo ingls fishing o pesca 17

Del ingls, pesca con arpn


42

6. Revisin de desperdicios o basura

7. Vishing

7.2.1 Suplantacin de identidad o Phishing

Phishing es un trmino informtico que se refiere a un tipo

de delito encuadrado dentro del mbito de las estafas, y

que se comete al intentar adquirir informacin confidencial

de forma fraudulenta (como puede ser una contrasea o

informacin detallada sobre tarjetas de crdito u otra

informacin bancaria). El estafador, conocido como

phisher, se hace pasar por una persona o empresa de

confianza en una aparente comunicacin oficial

electrnica, por lo comn un correo electrnico, o algn sistema de mensajera

instantnea o incluso utilizando tambin llamadas telefnicas18. Se deriva del

vocablo ingls fishing o pesca, por la metfora de pescar vctimas incautas a

travs de seuelos.

De hecho, Kevin Mitnick se hizo famoso por su Phishing telefnico, con el cual

pudo obtener informacin sensible de numerosos usuarios, mediante llamadas

telefnicas realizadas.

Una de las primeras variantes del Phishing se conoce como Estafa Nigeriana,

que a su vez tiene al menos cinco (5) tipos:

1. La clsica estafa nigeriana o africana, en la que una supuesta autoridad

gubernamental, bancaria o petrolera africana solicita al destinatario los datos

de su cuenta bancaria con el objeto de transferir a ella grandes sumas de

dinero que desean sacar del pas, por supuesto a cambio de una sustanciosa

comisin. Caso de aceptar y tras una serie de contactos por correo electrnico

e incluso por fax o telfono, en un momento dado se solicita al incauto algn

desembolso con el que poder hacer frente a gastos inesperados e incluso

sobornos. Por supuesto ni las cantidades adelantadas sern nunca restituidas,

ni se recibirn jams los beneficios prometidos.

2. En el timo de la lotera, el mensaje indica que el destinatario ha obtenido un

premio de la lotera, an cuando no haya participado en sorteo alguno. A partir

de aqu la mecnica es similar al caso anterior, tras sucesivos contactos se

acaba solicitando algn tipo de desembolso al efecto de sufragar los gastos

ocasionados por algn ineludible trmite.

18

http://es.wikipedia.org/wiki/Phishing


43

3. El To de Amrica, consiste en un mensaje de correo electrnico en el que los

supuestos albaceas de un desconocido y adinerado pariente anuncian su

fallecimiento y notifican al destinatario su inclusin entre los beneficiarios del

testamento. Como en los otros casos, en algn momento del proceso los

timadores acabarn solicitando que el incauto afronte algn tipo de gasto. Es

de resear que en este caso se utilizan tcnicas de ingeniera social, ya que el

apellido del difunto se hace coincidir con el del destinatario.

4. El prisionero espaol o peruano. Este timo tiene un origen muy anterior a los

previos, a comienzos del siglo XX. En esta versin, uno de los timadores, el

confidente, contacta con la vctima para explicarle que est en contacto con

una persona muy famosa e influyente que est encerrada en una crcel

espaola (o segn versiones ms modernas, de algn pas africano) bajo una

identidad falsa. No puede revelar su identidad para obtener su libertad, ya que

esa accin tendra repercusiones muy graves, y le ha pedido al confidente que

consiga suficiente dinero para pagar su defensa o fianza. El confidente ofrece

a la vctima la oportunidad de aportar parte del dinero, a cambio de una

recompensa extremadamente generosa cuando el prisionero salga libre. Sin

embargo, una vez entregado el dinero, surgen ms complicaciones que

requieren ms dinero, hasta que la vctima ya no puede o quiere aportar ms.

En ese momento se acaba el timo y el confidente desaparece.

5. La venta del telfono mvil (celular) en eBay. En este fraude, los timadores

localizan a usuarios particulares de eBay que tengan a la venta telfonos

mviles. Ofrecen una puja muy alta en el ltimo momento, ganando as la

subasta. A continuacin se ponen en contacto con el vendedor para explicarle

que desean enviar el mvil a un supuesto hijo que est trabajando como

misionero en Nigeria pero que el pago se efecte mediante Paypal, por lo que

necesitan conocer la cuenta del vendedor para depositar el dinero. A

continuacin envan un falso mensaje con las cabeceras falsificadas para que

parezca que proviene de Paypal, confirmando que el pago se ha realizado. Si

el vendedor intenta comprobarlo desde el enlace que se da en el mensaje

ser reenviado a una web falsa con la apariencia de ser de Paypal, donde se

les explica que, por motivos de seguridad, el pago, aunque ha sido realizado,

no ser transferido a su cuenta hasta que no se realice el envo. Obviamente,

si enva el mvil al comprador, nunca recibir el dinero.19

19

http://es.wikipedia.org/wiki/Estafa_nigeriana


44

Tambin se presenta la modalidad de Lavado de Dinero mediante el Phishing.

Empresas ficticias reclutan teletrabajadores por medio de e-mails, chats, irc y otros

medios, ofrecindoles no slo trabajar desde casa sino tambin otros jugosos

beneficios. Aquellas personas que aceptan la oferta se convierten automticamente en

vctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a

travs del acto fraudulento de phishing.

Para que una persona pueda darse de alta con esta clase de empresas debe rellenar

un formulario en el cual indicar, entre otros datos, su nmero de cuenta bancaria.

Esto tiene la finalidad de ingresar en la cuenta del trabajador-vctima el dinero

procedente de estafas bancarias realizadas por el mtodo de phishing. Una vez

contratada, la vctima se convierte automticamente en lo que se conoce vulgarmente

como mulero.

Con cada acto fraudulento de phishing la vctima recibe el cuantioso ingreso en su

cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la

vctima se quedar un porcentaje del dinero total, pudiendo rondar el 10%-20%, como

comisin de trabajo y el resto lo reenviar a travs de sistemas de envo de dinero a

cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la vctima (muchas veces motivado por la necesidad

econmica) sta se ve involucrada en un acto de estafa importante, pudiendo ser

requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen

resolver con la imposicin de devolver todo el dinero sustrado a la vctima, obviando

que este nicamente recibi una comisin.20

20

http://es.wikipedia.org/wiki/Phishing


45

Los Ingenieros Sociales gustan de usurpar o suplantar identidades en cuentas de

correo ya existentes. Para eso se sirven de los llamados xploits, que no son ms

que portales que envan tarjetas postales (por ejemplo de Gusanito.com) a las

vctimas potenciales, y que antes de ser ledas pide que se introduzca la

contrasea de la cuenta de correo. Por supuesto que esa contrasea se le enva

de regreso al Ingeniero Social, quien luego toma el control del buzn de correos

respectivo.


46

Otra variante es el Phishing bancario, en el cual se enva un correo

electrnico a las vctimas potenciales, solicitando que sean actualizados sus datos

personales. Por supuesto que lo dirige a una direccin falsa, donde se capturan

datos sensibles de la vctima que sern usados para vaciar sus cuentas bancarias.


47

El ya mencionado Phishing telefnico, que mediante la voz agradable de un

hombre o mujer, que supuestamente pertenece al equipo de soporte tcnico de

nuestra empresa o de nuestro proveedor de tecnologa, requiere telefnicamente

de informacin para resolver un inconveniente detectado en nuestra red.

7.2.2 Spear Phishing

El spear phishing es una variante del Phishing, Se traduce como pesca de

arpn porque es un ataque de Phishing dirigido a un objetivo especfico.

Los timadores de "spear phishing" envan

mensajes de correo electrnico que parecen

autnticos a todos los empleados o miembros

de una determinada empresa, organismo,

organizacin o grupo.

Podra parecer que el mensaje procede de un

jefe o de un compaero que se dirige por

correo electrnico a todo el personal (por

ejemplo, el encargado de administrar los

sistemas informticos) y quiz incluya

peticiones de nombres de usuario o

contraseas.

En realidad, lo que ocurre es que la informacin del remitente del correo electrnico ha

sido falsificada. Mientras que las estafas de suplantacin de identidad (phishing)

tradicionales estn diseadas para robar datos de personas, el objetivo de las de

"spear phishing" consiste en obtener acceso al sistema informtico de una empresa.

Si responde con un nombre de usuario o una contrasea, o si hace clic en vnculos o

abre datos adjuntos de un mensaje de correo electrnico, una ventana emergente o

un sitio web desarrollado para una estafa de "spear phishing", puede convertirse en

vctima de un robo de datos de identidad y poner en peligro a su organizacin.

Las estafas de "spear phishing" tambin se dirigen a personas que utilizan un

determinado producto o sitio web. Los timadores utilizan toda la informacin de que

disponen para personalizar al mximo posible la estafa de suplantacin de identidad

(phishing).21

21

http://www.microsoft.com/spain/protect/yourself/phishing/spear.mspx


48

7.2.3 Simple embaucamiento

El Ingeniero Social hace uso de la tcnica del

paquete chileno. Esa es una estafa que consiste en

dejar caer un rollo de papeles que tiene en su exterior

semejanza con un fajo de billetes. Cuando un

transente se acerca a recogerlo, el estafador

(paquetero) finge hacer lo mismo y luego, en vez de

repartirse el supuesto dinero, usa algn pretexto para convencer a la vctima de

que esta le entregue algo de valor y se quede con el fajo22.

Tambin puede usar el truco de la

tarjeta de crdito atascada en el Cajero

Automtico para conocer el nmero de

dicha tarjeta y la clave secreta.

Algo que ya se ha vuelto muy comn en

la actualidad es la clonacin de tarjetas

de crdito o de dbito. Se debe tener mucho cuidado y no perder de vista la tarjeta

con la que se vaya a cancelar alguna compra en cualquier establecimiento.

7.2.4 Envo de archivos adjuntos en el correo electrnico

El Ingeniero Social le enva un correo

electrnico a la vctima potencial con un

troyano adjunto, enviado por una persona que

le es familiar o simplemente con un interesante

ttulo al destinatario como "es divertido,

prubalo", "mira a Anita desnuda", etc.

El Troyano no es ms que un programa

malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios

externos, a travs de una red local o de Internet, con el fin de recabar informacin

o controlar remotamente a la mquina anfitriona.23

22

http://es.wiktionary.org/wiki/paquete_chileno 23

http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)


49

Tambin puede enviar adjunto un

capturador de teclas digitadas (keyloggers).

Un keylogger (deriva del ingls: Key (Tecla)

y Logger (Registrador); registrador de teclas)

es una herramienta de diagnstico utilizada

en el desarrollo de software que se encarga

de registrar las pulsaciones que se realizan

sobre el teclado, para memorizarlas en un

fichero y/o enviarlas a travs de internet.24

7.2.5 Recoleccin de hbitos de las vctimas potenciales

El Ingeniero Social crea perfiles ficticios y se infiltra en Redes Sociales o en

Servicios de Mensajera, para poder recolectar informacin acerca de los hbitos

de las vctimas potenciales. Qu hombre se puede resistir al encanto de una

escultural modelo que nos enva su sensual foto y que quiere ser nuestra amiga?

Un adolescente que no reciba la atencin requerida por parte de sus padres puede

conseguir un amigo incondicional en lnea, a quien le cuente todo lo que le pasa

y todo lo que hace.

Son incontables los casos de secuestros y robos que se han hecho, al levantar la

informacin necesaria obtenida de manera fcil gracias a la ingenuidad y falta de

malicia de las vctimas.

24

http://es.wikipedia.org/wiki/Keylogger


50

7.2.6 Revisin de desperdicios o basura

Revisar los desperdicios y la basura

(trashing en ingls), es otro mtodo

popular que aplica la Ingeniera

Social. Una gran cantidad de

informacin puede ser recogida

desde los colectores de desperdicios

de las empresas. El Lan Times25

elabor una lista con los artculos

echados en la basura que pueden

representar una potencial fuga de informacin: libretas telefnicas, organigramas,

memorandas, manuales de procedimientos, calendarios (de reuniones, eventos y

vacaciones), manuales de operacin de sistemas, reportes con informacin

sensible o con las cuentas de usuarios y sus contraseas, cdigos fuentes, discos

flexibles o duros, formatos con membretes y hardware obsoleto.

Estas fuentes pueden proveer de una inagotable fuente de informacin para un

Ingeniero Social. Las libretas telefnicas le suministran los nombres y nmeros

telefnicas de potenciales vctimas o de personas por las que se puede hacer

pasar. Los organigramas contienen informacin acerca de las personas que estn

en posiciones de autoridad en la organizacin. Los memorandas proveen de

informacin rutinaria que puede ser usada para aparentar autenticidad. Los

manuales de procedimientos muestran cun segura (o insegura) es la

organizacin. Los calendarios son muy provechosos, ya que muestran cundo los

empleados van a encontrarse fuera de la ciudad. Los manuales de operacin de

sistemas, los reportes con informacin sensible y otro tipo de informacin tcnica

le dan al Ingeniero Social las herramientas para entrar a la red. Finalmente, el

hardware obsoleto y los discos pueden contener informacin susceptible de ser

recuperada.

25 http://packetstorm.decepticons.org/docs/social-engineering/soc_eng2.html


51

7.2.7 Vishing

Existe una nueva modalidad de fraude para el

robo de datos conocida como Vishing, un

trmino que combina voz y phishing.

La prctica consiste en un protocolo de voz e

ingeniera social para obtener informacin de

una persona que pudiera ser estafada.

Los cibercriminales utilizan un sistema de

mensajes pregrabados o una persona que llama

para solicitar, en muchos casos, informacin

financiera personal.

Los bancos y las tarjetas de crdito jams envan correos ni realizan llamadas

telefnicas solicitando nmeros de tarjeta, ni confirmacin o actualizacin de

datos.

7.3 Hasta dnde es tico hacer Ingeniera Social?

Como todo en esta vida, es muy fcil justificar las

razones por las cuales se puede llevar a cabo la

Ingeniera Social.

Los detectives privados dirn que es la manera de

ganarse la vida, obteniendo la informacin requerida

por sus clientes. Los Miembros de los Organismos

Policiales o de Inteligencia Gubernamental dirn que

es necesario hacerlo para mantener o preservar la

Seguridad de Estado. Los Miembros de la

Inteligencia Comercial harn ver que es para la sobrevivencia de su compaa o

empresa. Por supuesto que los Delincuentes Organizados hacen del delito su

vida, y tambin es su manera de ganarse la vida. Los Hackers justifican sus

acciones con el orgullo de haber obtenido la informacin que est restringida para

la mayora de los mortales. Y quizs los curiosos vean en la Ingeniera Social una

manera inofensiva de llevar a cabo un pasatiempo.


52

Ahora bien, es tico hurgar en Internet la informacin acerca de las dems

personas, y tomar sus imgenes sin estar autorizados para ello? Hasta qu

punto nuestra informacin circula libremente en Internet?

Todo ello depender de los valores ticos y morales que cada quien posea. Es

difcil a veces trazar la delimitacin entre lo tico y lo que no es tico.

7.4 Proliferacin de Redes Sociales y sus implicaciones en la Ingeniera

Social

A menudo se escucha decir quien no est en Internet, no

es conocido.

De hecho, por mero ejercicio, pueden introducir su nombre

en cualquier buscador de Internet, y quizs se sorprendan al

ver los resultados de la bsqueda. Desde aparecer en una

lista de graduandos de un Colegio, Liceo o Universidad,

hasta aparecer en la demanda de divorcio, o en el acta de

nacimiento del hijo. Quizs se le otorg algn reconocimiento y la resea del acto

se public en alguna pgina web.

Google es el principal motor de bsqueda de la red, dispone de informacin privada

de millones de usuarios al gestionar uno de los servicios punteros de correo

electrnico como es Gmail, conoce nuestras preferencias en lo que a consumo de

informacin se refiere mediante otro servicio de gran implantacin como es iGoogle el

cual permite configurar a medida nuestra pgina de inicio.

Por si lo anterior no le parece suficiente, Google es propietario de uno de los

principales, si no el principal, servicio de gestin de feeds como es Feedburner , de la

principal herramienta de anlisis de trfico web Google Analitycs, de la mayor red de

distribucin de anuncios Adsense / Adwords y de Google Toolbar la barra mas de

monitorizacin de trfico mas extendida.

No hay que olvidar que tambin es duea del principal servicio de alojamiento de

contenido vdeo, el cada vez mas influyente You Tube, como est demostrando la

actual campaa presidencial de los EE.UU.26

Se escuchan expresiones refirindose al Dios Google27, omnisciente

y que todo lo sabe en la red. Otros dicen que estamos entrando en

26

http://www.pbggrlatino.com/2008/02/19/lo-que-google-conoce-sobre-usted/


53

una era orwelliana28 o en una era donde est presente el Hermano Mayor (o

Big Brother) que todo lo ve y todo lo regula.

Y si se aade la proliferacin de las llamadas Redes Sociales, pues se puede

notar que cada da se sube ms y ms informacin personal que estar disponible

para quien la pueda obtener.

Las Redes Sociales en Internet han

surgido como sitios de reunin en

lnea, donde las personas se afilian

al portal de su preferencia, y

comparten experiencias, fotos, videos, chats y juegos, entre otros. A partir del ao

2003 surgen sitios como Friendster29, My Space30 y Tribe31, que le abren el

camino a otros sitios muy conocidos hoy en da, tales como Facebook32, Badoo33,

Linkedin34, Orkut35, y otros ms.36

Las herramientas que proporcionan en general las redes sociales en Internet

son37:

Actualizacin automtica de la libreta de direcciones

Perfiles visibles

Capacidad de crear nuevos enlaces mediante servicios de presentacin y

otras maneras de conexin social en lnea.

Y precisamente, son esos perfiles visibles los que permiten que se comparta la

informacin personal, hasta de manera inadvertida por los propios usuarios.

27

http://www.tufuncion.com/google_dios_religion 28

Por el escritor George Orwell 29

http://friendster.com/ 30

http://myspace.com/ 31

http://tribe.net/ 32

http://www.facebook.com/ 33

http://badoo.com/ 34

https://www.linkedin.com/ 35

http://orkut.com/ 36

http://es.wikipedia.org/wiki/Anexo:Redes_sociales_en_Internet 37

http://www.maestrosdelweb.com/editorial/redessociales/


54

Al aceptarse un amigo, ste tiene acceso a

los datos relacionados con lugar y fecha de

nacimiento (y edad), direccin actual, lugar de

estudio o de trabajo, familiares (ascendentes,

descendentes, cnyuges), inmuebles y/o

vehculos que posee, lugares donde pasa

vacaciones, lugares donde acude a comer o a

bailar, o sencillamente a tomar un trago, y en

fin, toda la informacin que le permitira a un

buen Ingeniero Social determinar si la persona es embaucable, o peor an, si es

secuestrable.

Entonces, si est de moda pertenecer a una Red Social, no podemos hacer caso

omiso a esa tendencia tecnolgica moderna (hasta mi mam est en Facebook).

Las Redes Sociales son minas de informacin para un Ingeniero Social. Lo que no

se debe hacer es ponerle al Ingeniero Social nuestra informacin en bandeja de

plata.

7.5 Cmo se evita la Ingeniera Social?

"Usted puede tener la mejor tecnologa, firewalls, sistemas de deteccin de ataques, dispositivos biomtricos, etc. Lo nico que se necesita es un llamado a un empleado desprevenido e ingresan sin ms. Tienen todo en sus manos."

Kevin Mitnick.

La Ingeniera Social se orienta hacia las personas con menos

conocimientos, dado que los argumentos y otros factores de influencia tienen que

ser construidos generando una situacin creble que la persona ejecute.

La principal defensa contra la Ingeniera Social es educar y entrenar a los

usuarios en la aplicacin de polticas de seguridad y asegurarse de que stas

sean seguidas.


55

Educar a las personas, en

concreto a las personas que

trabajan cerca de las

terminales, desde los

operarios, hasta personal de

limpieza.

Antes de abrir los correos

analizarlos con un antivirus

eficaz y debidamente

actualizado, ya que cualquier mensaje de correo electrnico puede

contener cdigos maliciosos aunque no le acompae el smbolo de datos

adjuntos.

Nunca ejecutar un programa de procedencia desconocida, aun cuando

previamente sea verificado que no contiene virus. Dicho programa puede

contener un troyano o un sniffer que reenve nuestra clave de acceso.

No informar telefnicamente de las caractersticas tcnicas de la red, ni

nombre de personal a cargo, etc. En su lugar lo propio es remitirlos

directamente al responsable del sistema.

Asegurar un control de acceso fsico al sitio donde se encuentra los

ordenadores.

Establecer polticas de seguridad a nivel de Sistema Operativo.

Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no

todos son necesarios para su trabajo habitual, por ello puede ser

conveniente por parte del administrador bloquear la entrada de ficheros con

extensiones ".exe",".vbs", etc.

Nunca tirar documentacin tcnica ni sensible a la basura, sino destruirla.

No revelar informacin personal por correo electrnico ni en lnea a menos

que sepa por qu motivo debe hacerlo y conozca a su interlocutor.

Asegrese adems de que se encuentra en un entorno seguro: es esencial

para ayudarle a evitar cualquier tipo de ataque.


56

Verificar previamente la veracidad de la fuente que solicite cualquier

informacin sobre la red, su localizacin en tiempo y espacio y las personas

que se encuent

vip genial seguridad en informatica luis castellanos

Documents